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基于 ReliefF 和 改进 乌鸦 搜索 优化 的 并 行 入 侵 检 测 方法 
马 超 


(深圳 信息 职业 技术 学 院 数字 媒体 学 院 , 广东 深圳 518172) 


摘 要 : 网 络 数据 量 的 增加 导致 计算 复杂 度 和 时 间 复 杂 度 增加 ， 为 提高 网 络 入 侵 检 测 的 检测 精度 与 速度 ， 提 出 一 种 新 
的 入 侵 检测 方法 RICSA-KELM。 首 先 采 用 ReliefF 过 滤 法 除去 无 关 特 征 和 骂 声 ， 降 低 特征 维 数 ; 然后 采用 封装 法 基于 
改进 乌鸦 搜索 算法 (ICSA) 进 行 最 优 特征 子 集 选 择 , 并 同步 实现 核 极限 学 习 机 (KELM) 分 类 器 的 参数 优化 。 设计 的 线性 加 
权 目 标 函 数 在 考虑 最 大 分 类 精度 的 同时 ， 尽 可 能 减少 误 报 率 以 及 特征 子 集 数 量 。 此 外 提出 基于 多 核 平 台 的 多 线程 并 行 
计算 方法 ， 进 一 步 优 化 模型 运算 方式 ， 提 高 了 计算 效率 。 实 验 采 用 KKDD99 和 UNSW-NB15 测 数据 集 对 RICSA-KELM 
性 能 进行 测试 和 分 析 。 实 验 结 果 表 明 ， 提 出 的 模型 优 于 SVM、ELM、KNN 等 方法 ， 检 测 准确 率 高 、 检 测 效率 快 、 误 
报 率 低 ， 是 一 种 有 效 的 网 络 入 侵 检 测 方法 。 
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Network intrusion based on ReliefF and improved crow search optimization parallel method 


Ma Chao 
(College of Digital Media, Shenzhen Institute of Information Technology, Shenzhen Guangdong 518172, China) 


Abstract: The increase of network data leads to the increase of computation complexity and time cost, in order to further 
improve the detection accuracy and efficiency of network intrusion detection, a novel algorithm RICSA-KELM was proposed. 
Firstly, filter method ReliefF used to remove the irrelevant features and noises, and reduced the feature dimension. Secondly, 
wrapper method used to select optimal feature subset which based on improved crow search algorithm (ICSA) , and optimized 
parameters of kernel extreme learning machine (KELM) . Moreover, a linear-weighted multi-objective function designed to 
take into account the average accuracy rate, false alarm rate and the subset of feature selection, it helped to improve the 
accuracy of the algorithm. At last, RICSA-KELM implemented in parallel on multi-core processor by using OpenMP to Speed 
up the search and optimization process. Experiment on KDD99 dataset and UNSW-NB15 dataset, by means of the 
experimental analysis and comparison with ELM, SVM and KNN, the proposed method not only improves the detection 
accuracy and detection efficiency, but also achieves lower false positive rate, it proves that the validity of the proposed 
method. 
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测 率 高 ， 但 不 能 发 现 变异 的 入 侵 行 为 ， 而 后 者 则 可 以 发 现 新 的 
入 侵 行为 ， 所 以 当前 主要 针对 异常 入 侵 检 测 进行 研究 。 在 模式 
随 着 互联 网 技术 的 日 益 普 及 ， 网 络 攻击 手段 多 样 化 ， 攻 击 。 ”识别 领域 中 网 络 入 侵 检测 实质 上 是 一 个 多 分 类 问题 ， 主 要 包括 

数量 和 危害 程序 也 呈 上 升 趋势 ， 传 统 防火 墙 和 数据 加 密 等 防 村 征 选 择 和 分 类 器 设计 两 部 分 。 近 年 来 随 着 人 工 智能 技术 的 快 
手段 已 不 能 满足 现代 网 络 安全 的 需求 。 网 络 入 侵 检 测 作为 一 种 。” 速 发 展 ， 越 来 越 多 的 研究 人 员 尝 试 将 人 工 智能 技术 用 于 网 络 入 
主动 防御 技术 ， 它 能 从 网 络 收集 和 分 析 系统 的 安全 数据 ， 提 取 ” 侵 检 测 钼 ,例如 2016 年 Bamakan 等 人 外 改进 随时 间 变 化 的 泥 洒 
出 系统 的 各 种 行为 模式 以 及 行为 特征 ， 实 时 地 保障 网 络 安全 ， 粒子 群 (PSO) 算 法 ， 并 分 别 结合 多 准则 线性 规划 MCLP) 和 支持 
及 时 发 出 警报 ， 因 此 它 已 成 为 信息 安全 领域 的 研究 热点 山 。 向 量 机 (SVM) 进 行 入 侵 检测 研究 , 在 KDD 数据 集 上 验证 了 该 方 
入 侵 检测 通常 包括 误 用 入 侵 检 测 和 异常 入 侵 检测 。 前 者 检 ，” ”法 的 有 效 性 ， 同 年 李 从 等 人 四 提出 一 种 融合 FAST 特征 选择 与 
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自 适 应 二 进 种 
FAST-ABQGSA-SV 


量子 引力 搜索 支持 
M 网 络 入 侵 检测 算法 , 在 KDD 


三 
里 


CUP99 上 实 


ey 


验证 明 该 算法 较 具 有 较 好 的 鲁 棒 性 和 学 习 精度 ; 华 辉 有 等 人 六 


提出 了 融合 Kmeans 和 KNN 的 网 络 入 侵 检 测算 法 ClusterKNN， 


将 聚 类 和 分 类 结合 分 别 进行 离线 预 处 理 和 在 线 分 类 两 阶段 ， 证 


明了 该 方法 在 ; 


E 确 率 、 误 报 率 和 漏 报 率 方面 


Wang 等 人 中 提出 基 


检测 方法 相 比 也 具有 一 定 优势 ; 
基于 信息 增益 IG 进行 特征 


与 其 他 同 领域 入 侵 


2017 年 Akashdeep 等 人 器 提出 
排序 并 结合 神经 网 络 ANN 分 类 器 的 
入 侵 检测 系统 ， 在 KDD-99 数据 集 上 得 到 了 很 好 的 结果 ; 
于 增强 特征 和 SVM 的 入 侵 检测 框架 ， 基 于 


同年 


KDD 


比率 通过 将 原始 特征 


EF 转换 到 更 高 质量 的 特征 空间 ， 算 法 在 
得 到 了 和 鲁 棒 性 更 强 的 结果 ; Raman 等 人 外 提 出 基 


于 超 图 遗传 算法 (GA) 同 步 优 化 SVM 参数 和 特征 选择 进行 入 侵 


检测 ， 算 法 在 KDD 数 # 


Aburomman 等 人 外 设计 


集 上 进 


分 类 器 模型 用 


行 了 测试 得 到 了 
了 基于 差分 进化 算法 优化 加 权 SVM 多 
于 入 侵 检测 ， 在 NSL-KDD 数据 集 上 取得 了 很 好 


良好 的 结果 ; 


的 分 类 结果 ; 2018 年 Hajisalem 等 人 M9 提出 人 工蜂 群 (ABC) 和 


人 工 鱼 群 (AFS) 的 混合 分 类 方法 


于 入 侵 检 测 研究 ， 并 在 KDD 


和 UNSW-NB15 数据 集 上 取得 了 很 高 的 精度 和 误 报 率 ; 同年 


Chiba 等 人 5 提出 优化 BPNN 的 方法 用 于 异常 入 
取得 了 较 好 的 效果 。 

从 这 些 研究 中 可 以 发 现 ， 基 
测 模 型 和 方法 已 得 到 广泛 的 关注 和 研究 ， 其 中 基于 


经 网 络 的 模型 使 / 


四 个 问题 : 


a) 对 于 神经 网 络 方法 ， 
局 部 极 小 
帮 代 才能 收敛 ， 学 习 速度 很 
如 检测 的 结果 有 重要 
于 参数 的 选择 尚未 有 统一 的 标准 和 理论 指导 ， 目 
多 采用 群 短 能 算法 对 参数 迭代 寻 优 ， 搜 索 易 陷 入 


降 的 方法 ， 易 陷入 


选择 问题 ， 这 对 入 


不 到 全 局 最 优 解 。 


b) 特 征 选择 和 分 类 器 优化 两 者 同样 重要 ， 
进行 ， 之 前 工作 较 少 考 
c) 虽 然 SVM 方法 可 以 处 型 


最 广泛 ， 


取得 


其 权重 参数 优化 多 采 
值 ， 算 法 训练 时 间 过 长 ， 需 
曼 ， 而 SVM 模型 的 核 函数 和 参 关 


马 超 : 


索 优化 的 并 行 入 侵 检测 方法 


薄 乙 . 


基于 ReliefF 和 改进 乌鸦 


(improved crow search algorithm, ICSA) 与 核 极 限 学 习 机 (KELM) 


分 类 模型 结合 , 模型 中 ICSA 算法 


算法 两 部 分 构成 ， 


连续 CSA 算法 和 离散 CSA 
于 自动 调节 KELM 参数 ， 


连续 CSA 算法 | 


离散 CSA 算法 用 


于 最 优 特征 子 


选择 ， 同 时 引入 混沌 运算 , 增 
局 搜索 和 局 部 搜索 。 使 用 基于 


加 种 群 多 样 性 ， 更 好 地 平衡 了 全 


多 核 平 台 的 Open 
充分 利用 CPU 资 


MP 多 线程 并 行 方法 提高 了 ICSA 算法 性 能 ， 
源 改善 算法 性 能 , 进一步 提高 了 算法 的 计算 效 


1 ”ReliefF 算法 


由 Konomenko 等 人 提出 的 基于 Relief 算法 扩 


j 于 多 分 类 问题 的 过 滤 特 征 选择 方法 02， 它 通 


ReliefF 算法 
展 提出 的 一 种 能 / 
过 计算 后 


类 与 不 同类 间 的 相 邻 样本 来 评估 样本 相关 性 和 元 余 度 。 


ReliefF 算法 从 原始 数据 样本 集中 随机 选 出 样本 子 集 p， 然 
后 从 pp 同类 样本 集中 选 出 s 个 最 近邻 样本 ， 并 从 与 p 不 同类 的 


次 更 新 。 重 复 


3 个 最 近邻 样本 ， 计 算得 到 每 个 特征 权重 值 并 依 
上 述 过 程 ， 


直到 计算 得 到 这 些 样本 中 各 特征 与 类 


如 检测 研究 ， 


于 人 工 智 能 技术 的 网 络 入 侵 检 


SVM 和 神 
仍 存在 以 下 


了 较 好 的 效果 ， 但 


用 基于 梯度 下 


王 日 


直接 的 影响 ， 然 而 对 


虑 两 者 


前 研究 人 员 大 


局 部 极 值 


直接 | 


的 相关 性 。 


通常 是 分 开 独 立 


二 分 类 
于 入 侵 检 测 这 种 多 分 类 问题 ,需要 采用 “一 对 一 ” 


问题 得 到 了 很 好 的 效果 ， 


或 “一 对 多 ”的 复杂 方式 构建 成 多 分 类 器 。 


d) 现 有 的 大 多 数 方法 都 是 基于 串 行 运行 方法 的 丰 


究 ， 计 算 


效率 低下 ， 未 能 考虑 在 并 行 条 件 下 进一步 提高 网 络 入 侵 检测 效 


率 。 


的 检测 


是 具有 相关 性 ， 对 检测 精度 


基于 之 前 分 析 ， 为 了 克服 以 上 缺点 ， 进 一 步 提 高 网 络 入 侵 


E 确 率 和 检测 效率 ， 同 时 考虑 到 特征 选择 和 分 类 器 优化 


tt 有 同样 重要 的 影响 ， 提 出 


RICSA-KELM 模型 


结合 的 混合 特征 选择 方法 ， 先 利 
除 不 相关 特征 和 噪声 ;然后 提出 将 改进 的 乌鸦 搜索 算法 


9 


于 网 络 入 


侵 检 测 。 模 型 采用 过 滤 和 封装 
用 ReliefF 进行 特征 降 维 ， 去 


值 的 特征 | 


别 的 相关 度 。 然 后 将 特征 根据 其 特征 权重 值 进行 降序 排列 ， 通 
过 给 定 阐 值 来 选择 部 分 特征 集合 。 即 当 特征 权 
于 构成 新 的 特征 子 集 ， 若 小 于 给 定 阔 值 则 去 除 掉 该 
特征 。ReliefF 算法 实现 如 下 : 
输入 : p 个 样本 实例 及 其 


[ey 


值 大 于 给 定 阔 


应 的 特征 属性 。 


输出 : 特征 权 值 向 量 w。 

a) 初 始 化 w=0。 

b) 从 pp 个 样本 中 选择 一 个 ， 并 从 pp 同类 和 不 同类 中 分 别 选 
出 8 个 最 近邻 样本 ， 并 计算 特征 权重 值 。 权 重 值 w 计算 公式 如 


和 
wl1]= wd (1 P,H ) /ms+ 
=l 
P(C) i 
一 -一 一 一 一 >》awrr1P,AM1 .CC))]/ 
人 1 Poass(B Wm me Oy 
其 中 : m 为 样本 抽样 次 数 ，diff(1,P;) 函 数 计算 两 样本 实例 关 


于 特征 了 的 距离 ; 
为 pi 样本 的 类 别 。 


Mi(O 〇 ) 为 不 同类 的 第 j 个 最 近邻 样本 ; class(pi) 


FE  - 声 


ReliefF 算法 


有 易 扩 展 、 有 效 性 强 、 稳 定性 好 、 计 算 效率 


高 等 优点 ， 能 快速 处 理 大量 数 据 和 噪声 数据 ， 是 一 种 较 好 的 过 


滤 评 估算 法 。 由 了 


间 的 相关 性 ， 所 以 能 够 较 好 地 去 除 无 关 特征 。 
改进 的 乌鸦 搜索 算法 (ICSA) 


2 


F ReliefF 算法 的 特征 评价 过 程 中 考虑 特征 之 


乌鸦 搜索 算法 CSA 是 由 Askarzadehl131 于 2016 年 提出 的 一 


种 新 的 群 智能 


多 化 算法 ， 它 模拟 的 是 自 
行为 。 乌 禾 算 法 简单 易 实 现 、 鲁 棒 性 强 ， 
数 较 少 ， 在 网 络 优化 等 领域 有 一 定 的 应 用 研究 。 乌 鸦 是 群居 生 


允 


然 界 中 乌鸦 的 智能 砚 
涉及 的 需要 调节 的 参 


活 的 具有 很 高 智慧 的 鸟 类 ， 它 们 找到 


食物 后 通常 将 多 余 的 食物 


藏匿 起 来 ,藏匿 位 置 称 为 记忆 值 (memory), 在 需要 时 取出 ;当前 
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能 跟踪 其 他 乌鸦 ， 窍 取 其 他 乌鸦 的 食物 ， 而 被 跟踪 的 乌鸦 能 以 
一 定 的 感知 概率 (awareness probability，AP) 保 护 自 己 的 食物 防 
止 被 窍 。 
2.1 连续 CSA 算法 
在 求解 最 优 问题 时 , 假定 NN 只 乌鸦 随机 分 布 在 n 维 搜索 空 
间 中 ,全 [x X225..., Xn 可 (i=1,2,...,N; {三 1,2,.….,Maxiten) 表 示 第 i 
只 乌鸦 在 第 1 次 迭代 时 的 位 置 。Mi' 表 示 乌 鸦 i 在 第 1 次 迭代 时 
隐藏 食物 的 记忆 值 , 即 最 优 位 置 。 AP 表示 乌鸦 关 在 第 上 次 迭代 
时 的 感知 概率 AP，f1*' 表 示 乌 鸦 i 在 第 1 次 迭代 时 的 飞行 长 度 ; 
对 乌鸦 搜索 算法 进行 初始 化 控制 参数 设置 ， 所 述 初始 化 控 
制 参数 包括 种 群 群体 数量 M、 感 知 概率 AP、 飞 行 长 度 有 1 以 及 
最 大 迭代 次 数 Maxiter; 
传统 乌鸦 搜索 算法 是 随机 初始 化 位 置 ， 公 式 如 下 : 
xX = rand (x — xX) + Xe, (2) 
其 中 : xw! 为 乌鸦 随机 产生 的 位 置 ，xmax 为 x 的 最 大 值 ， xmin 为 x 
的 最 小 值 ，rand 为 [0,1] 区 间 随 机 生成 数 。 
但 是 随即 初始 化 导致 个 体 的 质量 无 法 保证 ， 解 群 中 有 一 部 
分 远离 最 优 解 的 位 置 ， 如 果 初 始 解 群 较 好 ， 将 会 有 助 于 求解 效 
率 与 解 的 量 ; 如 果 不 好 , 则 会 影响 求解 效率 , 增加 了 不 确定 性 。 
而 一 个 好 的 初始 化 种 群 能 够 确保 算法 更 快 地 收敛 。 本 文 将 混沌 
算法 优化 乌鸦 搜索 来 解决 上 述 问 题 。 混 沌 运动 一 种 貌似 随机 的 
运动 ， 是 在 确定 性 非 线 性 系统 中 自然 出 现 的 类 随机 行为 ， 它 具 
有 确定 性 过 程 同 时 也 兼 具 随 机 性 (时 。 混 沌 运动 这 种 非 线 性 系统 
所 特有 的 一 种 形式 ， 可 以 使 得 算法 能 够 跳出 局 部 最 优 的 同时 寻 
找 全 局 最 优 解 。 因 此 本 文采 用 混沌 映射 函数 Logistics 对 乌鸦 位 
置 进行 初始 化 : 
X 1 =:X (1—X,) ws[0.4],X e(0,1) (3) 
其 中 : 参数 4 用 于 控制 混沌 程度 。 
在 第 1 次 迭代 时 , 乌鸦 i 随机 选择 一 只 乌鸦 j 跟踪 以 偷 窍 对 
方 的 食物 。 算 法 包括 全 局 搜索 和 局 部 搜索 两 部 分 。 通 过 感知 概 
率 4P 进行 动态 调整 以 达到 全 局 搜索 和 局 部 搜索 的 平衡 状态 。 
当 随 机 生成 数 大 于 等 于 乌鸦 感知 概率 AP 时 , 即 乌鸦 j 知道 乌 鸦 
i 跟踪 它 , 会 把 乌鸦 i 带 到 任意 位 置 ， 反之 ， 当 随机 生成 数 小 于 
AP 时 ， 即 乌鸦 j 不 知道 乌鸦 i 跟踪 它 ， 则 乌鸦 i 向 乌鸦 j 的 最 


优 位 置 移动 。 由 于 乌鸦 位 置 的 更 新 影响 着 最 优 解 和 收敛 速度 ， 
引入 混沌 算法 进一步 优化 乌鸦 搜索 位 置 的 更 新 。 位 置 更 新 的 表 
达 式 如 下 : 


a x twn fl (mY —x"), 让 w,>AP” 
2 (4) 
rand (Xiax 一 Xnin) 十 Xin， elSe 


其 中 : wi 表示 在 第 i 代 时 得 到 的 混沌 映射 值 ，wz 表 示 在 第 z 代 
得 到 的 混沌 映射 值 ，4P" 表示 乌鸦 了 在 t 代 时 的 感知 概率 ; ri 
和 是 [0,1] 区 间 均 匀 分 布 的 随机 数 。 
由 式 (4) 可 知 , 通过 混合 函数 的 引入 进一步 平衡 算法 全 局 搜 
索 和 局 部 搜索 ， 对 全 局 搜索 和 局 部 搜索 进行 更 加 灵活 地 动态 扰 
动 ， 在 前 期 wi 值 较 大 ,确保 全 局 搜索 占 较 大 权重 ,提高 种 群 搜 
索 的 多 样 性 ; 到 和 代 后 期 , wi 值 变 小 , 使 得 局 部 搜索 权重 加 大 ， 
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加 速算 法 收敛 。 
当 乌 鸦 守 的 位 置 发 生 改 变 ， 则 更 新 记忆 值 表 达 式 如 下 


Mi 及 人 让 f(x )>SFM") 
M'', else 


(5) 


其 中 : M 癌 表示 乌鸦 记忆 值 ， KM 表示 适应 度 值 。 
2.2 离散 CSA 算法 

为 了 更 有 效 地 处 理 实际 问题 ，Sayed 等 人 05 又 提出 离散 
CSA 算法 用 于 特征 选择 。 其 中 种 群 个 体 的 每 一 维和 最 优 位 置 均 
为 0 或 1， 引 入 映射 函数 5S(x) 将 连续 空间 的 值 转换 到 离散 空间 
[0, 1]: 


i -| ,if f(S(M"™")) > randO Ne, 


0, else 


1 为 ICSA 算法 的 整体 流程 。 


人 


vv 
更 新 当前 最 优 个 体 
生成 初始 群体 位 置 和 记忆 值 
v 
广 -一 镍 增加 迭代 次 数 
和 
计算 适应 度 值 
得 到 最 优 解 
vv 
更 新 适应 度 值 和 记 
忆 值 


图 1 ICSA 算法 的 流程 


3 RICSA-EKELM 模型 


在 本 章 将 详细 介绍 RICSA-KELM 分 类 模型 。 该 模型 先 利 
] ReliefF 过 滤 方 法 除去 不 相关 特征 和 噪声 ， 然 后 在 并 行 环境 
下 ， 自 适应 确定 KELM 参数 并 找 出 最 具 区 分 力 的 特征 子 集 , 采 
用 ICSA 算法 同步 进行 参数 优化 和 特征 选择 。 在 提出 的 
RICSA-KELM 模型 中 , 将 同时 考虑 三 个 子 目 标 函 数 设 计 适 应 度 
函数 ， 即 KELM 模型 所 得 到 的 ACC 值 、 误 报 率 、 特 征 子 集 的 
大 小 。 模 型 整体 流程 如 图 2 所 示 。 下 面 分 别 介绍 串 行 算法 ， 接 
着 实现 并 行 算法 。 注意， 本 阶段 实施 的 前 提 是 已 经 基于 ReliefF 
过 滤 特 征 选择 方法 对 原始 样本 集 进 行 了 特征 降 维 处 理 ， 去 除 ] 
不 相关 特征 和 噪声 之 后 的 特征 集合 。 
3.1 品行 模型 

RICSA-KELM 模型 的 运行 过 程 包括 三 个 阶段 : 第 一 阶段 ， 
利用 ICSA 算法 通过 迭代 搜索 寻找 最 优 特征 集合 和 KELM 参数 
组 合 ; 第 二 阶段 ， 利 用 第 一 阶段 提供 的 最 优 特 征集 合 和 最 优 参 
数组 合 在 不 同 训练 数据 集 上 进行 训练 ， 得 到 RICSA-KELM 分 
类 器 ;第 三 阶段 ， 利 用 训练 好 的 分 类 器 在 测试 数据 集 上 进行 测 
试 ， 线 性 加 权 多 目标 函数 同时 考虑 了 分 类 精度 ACC、 误 报 率 以 
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让 


及 特征 个 数 三 个 子 目 标 函 数 。 主 要 步骤 为 : 
a) 对 解 进行 编码 ， 编 码 长 度 为 n+2 维 ， 其 中 前 n 维 1 
1 二 进 制 数 组 成 ，1 表示 选中 该 特征 ，0 表示 该 特征 未 被 选中 ， 
佳 分 别 表示 KELM 的 参数 C 和 y 两 个 连续 值 , 解 编码 形 


最 后 两 
式 为 X=[0,1,.….,1,0,C,y]。 

b) 进 行 种 群 初始 化 ， 设 定 相关 参数 ， 包 括 种 群 大 小 、 最 大 
友 代 次 数 、 感 知 概率 AP、 飞 行 长 度 fl。 

9 利用 步骤 b) 初 始 化 个 体 解码 得 到 的 特征 集合 和 参数 在 


KELM 上 训练 。 
d)ACC 越 高 , 误 报 率 越 低 , 特征 子 集 越 小 ,可 得 到 更 高 的 适 
应 度 值 ， 因 此 对 三 者 综合 考虑 设计 了 线性 加 权 多 目标 函数 ， 计 


算 公 式 如 下 : 
K 
> accuracy, (7) 
万 = 4CC= 全 一 
=1— FA (8) 


=- Pm, /A 9) 


T= f+7: ft+o: fs 

其 中 :fi 表示 KELM 的 K 折 交叉 验证 
K-fold CV)09 所 得 的 ACC 值 ; 户 中 FA 表示 误 报 率 (false alarm 
rate，FA); 及 中 m 表示 特征 值 ，n 为 特征 总 数 。 下 中 从 7 和 
为 常量 值 ; 1 为 KELM 准确 率 的 权重 ;7 为 误 报 率 权重 ; o 是 


(10) 


FE(K-fold cross validation, 


所 选 特征 集合 的 权重 , y+w+o=1。 权重 可 调整 到 一 个 恰当 的 值 ， 
这 取决 于 各 子 目标 函数 对 评估 结果 贡献 大 小 。 由 于 分 类 性 能 更 
依赖 准确 率 和 误 报 率 ， 所 以 根据 实验 多 次 尝试 , 人、 7 和 o 分 别 
设 为 0.5。0.3 和 0.2。 

e 增 加 迭代 次 数 t+1。 

有 根据 式 (4) 和 (5) 更 新 种 群 个 体 的 位 置 和 记忆 值 。 


g) 利 用 步骤 了) 得 到 更 新 解 ， 进 行 解码 得 到 的 特征 集合 和 参 


数 在 KELM 上 训练 ， 根 据 式 (7~10) 计 算 个 体 适应 度 值 。 


h) 记 录 当 前 种 群 的 最 优 解 ， 若 当前 适应 度 值 大 于 存储 的 最 
优 适 应 度 值 ， 则 更 新 适应 度 值 为 当前 值 ， 否 则 保持 存储 的 适应 
度 值 不 变 。 

iD 若 达到 最 大 种 群 数 , 转 到 步骤 j) 运 行 ,否则 算法 转 到 步 又 
人 运行 。 

j) 比 较 当 前 适应 度 值 和 全 局 最 优 适 应 度 值 ， 若 当前 值 大 于 
存储 的 全 局 最 优 适 应 度 值 ， 更 新 为 当前 值 ， 否 则 保持 历史 最 优 
适应 度 值 不 变 。 


kK) 若 达到 最 大 迭代 次 数 ， 转 到 步 骤 1)， 否 则 转 到 步 又 6) 继 
续 进 行 迭 代 寻 优 。 
D) 输 出 全 局 最 优 解 ， 通 过 解码 得 到 最 优 特征 子 集 和 最 优 参 
数组 合 (C,y)。 

m) 利 用 最 优 特征 子 集 和 参数 组 合并 结合 训练 集 在 KELM 
上 训练 ， 得 到 最 优 分 类 器 模型 。 

D) 在 测试 集 上 测试 并 得 到 最 终 分 类 结果 。 
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人 
开始 
SN 一 

ReliefF 特 征 

条 维 离散 CSA 连续 CSA |H 
vy vy vy vy 
测试 集 训练 集 特 信 次 择 才 笋 仿 化 
vy 
选择 最 佳 特征 集合 和 优 


化 参数 以 训练 KELM 


村 
评估 适应 度 值 


是 否 满 足 
终止 条 件 ? 


v 
得 到 最 优 参 数 和 特征 子 


已 


vy 
> 模型 测试 


得 到 最 终 的 分 类 结果 


图 2 RICSA-KELM 模型 的 总 体 流程 


3.2 并行 模 型 

对 于 许多 复杂 优化 问题 
证 找到 最 优 解 。ICSA 算法 的 初始 解 生 
值 更 新 等 在 算法 中 比较 耗 时 ， 并 且 它 们 是 相互 独立 的 ， 
ICSA 算法 具有 天 然 的 并 行 性 。 为 充分 发 挥 ICSA 算法 


提高 算法 效率 ， 提 出 基于 多 核 处 理 器 利用 OpenMP07 来 实现 并 


行 模型 。 te 
a)ICSA-KELM 模型 。 


三 层 组 成 : 
一 系列 种 群 个 体 组 成 ， 


，ICSA 算法 需要 多 次 更 新 才能 保 
成 、 适 应 度 计 算 、 记 忆 


所 以 
并 行 性 ， 


行 算 


法 控制 整个 CSA 迭代 过 程 ， Gnd 立 参 与 整个 运算 过 程 。 


b)OpenMP 平台 。 该 层 是 为 保证 实现 并 行 算 法 的 同步 ， 同 


时 建立 和 操作 系统 间 的 通信 联系 。 平 台 核 心 组 件 是 调度 器 ， 能 


给 操作 系统 提供 作业 的 调 on 
0c) 多 核 处 理 器 。 作 业 在 该 层 通 
并 行 RICSA-KELM 算法 的 伪 代 码 如 下 : 


Initialize model parameters 


Train KELM; 

Calculate the fitness; 

while ixmax_iteration /* 为 当 
最 大 迭代 次 数 */ 


for each particle 


Update position; 
Update memory; 

Train KELM; 

Calculate the fitness; 


Calculate fitness_best; 


过 OpenMP 被 系统 调用 。 


前 迭代 次 数 ，max_iteration 为 
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Calculate memory_best; 实验 中 运行 十 次 ， 然 后 求 平均 值 为 最 终结 果 
end for; 4.2 ”实验 设置 
Calculate fitness global; 提出 的 RICSA-KELM 算法 是 MATLAB 2014b 开发 环境 
Calculate memory_global; 设计 实现 的 .KELM 采用 的 ELM 工具 包 , 硬件 平台 配置 为 Intel 
i=i+1; 四 核 处 理 器 ， 主 频 3.2 GB，16 GB 内 存 ，64 位 Windows8 操作 
end while 系统 。 
在 接 下 来 RICSA-KELM 模型 的 训练 和 相关 算法 比较 过 程 


4 ”实验 分 析 


中 ,模型 的 详细 参数 设置 如 下 :粒子 初始 位 置 和 速度 均 设 为 [0,1] 

4.1 数据 描述 与 处 理 之 间 的 随机 数 ， 种 群 数量 为 20， 最 大 迭代 次 数 为 100。 为 了 公 

实验 采用 的 是 KDD99 和 UNSW-NB15 的 部 分 网 络 入 侵 检 ， ” 平 比较 ，ICSA-KELM 模型 的 设置 与 PSO-SVM 相同 。KELM 

测 数据 集 ， 其 中 KDD99 数据 集 是 使 用 最 多 的 经 典 数 据 集 , 很 “和 SVM 模型 中 C 和 ”的 搜索 范围 为 CE{2-10…,25} 和 >”E 
多 入 侵 检测 方法 有 基于 此 数据 集 ，UNSW-NB15 数据 集 是 澳 大 {2-15,...,25}。 


利 亚 网 络 安全 中 心 ACCS 研究 小 组 于 2015 年 创建 9。 数 据 集 “4.3 实验 结果 分 析 
信息 分 别 如 表 1 和 2 所 示 。 限 于 空间 未 给 出 UNSW-NB15 数据 为 了 验证 提出 的 模型 有 效 性 ， 实 验 首先 给 出 分 类 模型 
集 的 具体 特征 描述 信息 。 RICSA-KELM 在 两 个 数据 集 上 与 其 他 三 种 模型 (KELM、SVM、 
表 1 KDD99 数据 集 四 种 异常 类 型 数据 信息 LSSVM) 在 KDD99 和 UNSW-NB15 数据 上 的 分 类 性 能 比较 , 如 
类 别 ”数量 攻击 类 型 表 3 和 4 所 示 。 其 中 RICSA-KELM 模型 利用 ICSA 算法 对 KELM 
Dos 10,000 Ipsweep,nmap,portsweep,satan 模型 进行 参数 优化 和 特征 选择 ,对 SVM 和 LSSVM 算法 是 利用 
Probe “4,107 Back,land,Neptune,pod,smurf,teardrop 网 格 计算 方法 对 参数 进行 优化 。 同 时 表 中 给 出 了 其 他 三 种 模型 
Rootkit,perl,loadmodule, 在 该 数据 集 上 的 准确 率 ACC 和 误 报 率 。ACC 越 高 ， 误 报 率 越 
es ee 低 说 明 性 能 越 好 。 从 结果 可 以 看 出 ， 在 KDD99 数据 集 上 这 四 
a ftp_write,multihop, warezclient,ph, 种 分 类 方法 中 提出 的 模型 取得 了 最 高 的 平均 分 类 准确 率 
warezmaster,imap,guess_passwd,spy 95.88%， 明 显 高 于 其 他 三 种 分 类 方法 ， 之 后 依次 排列 的 分 类 器 
表 2 UNSW-NB15 数据 集 数 量 及 分 布 比例 信息 是 KELM、LSSVM 和 SVM。 提出 的 模型 在 分 类 精度 上 比 其 他 
类 别 数量 分 布 比例 /9 三 种 模型 分 别提 高 了 1.04%、3.64% 和 3.46% ， 同 时 提出 模型 具 
Backdoor 1.746 2.87 有 最 低 的 误 报 率 为 1.28%。 在 UNSW-NB15 数据 上 本 方法 也 取 
Analysis 2,000 3.29 得 了 较 好 的 结果 。 
Fuzzers 10,000 16.46 表 3 四 种 模型 在 KDD99 数据 集 上 分 类 性 能 比较 
= Shellcode 1,133 1.86 提出 方法 KELMI[20] SVMI[21] LSSVMI[22] 
加 Reconnaissance 10,491 17.26 ACC FA ACC FA ACC FA ACC FA 
Exploits 13,000 21.39 (%) WW) %) %) %) %) (%) (%) 
Dos 12,264 20.18 l# 95.61 1.34 92.81 2.93 91.87 3.02 91.21 3:25 
Worms 130 0.21 2# 96.02 1.12 93.72 2.82 92.69 2.34 92.69 3.69 
Generic 10,000 16.46 3# 95.82 1.36 93.77 2.56 92.38 2.39 93.38 3.26 


为 缩小 特征 值 之 间 大 小 差异 ， 采 用 数据 归 一 化 对 数据 集 进 4# 96.74 150 94.29 2.07 92.14 2.63 9232 3.54 
行 预 处 理 ， 将 所 有 特征 值 映射 到 [0,1] 之 间 ， 避 免 较 大 数量 级 数 5# 95.20 1.09 9451 221 9212 2.82 92.52 3.37 
据 对 较 小 数量 级 的 数据 造成 干扰 ， 保 证 结果 的 有 效 性 。 计 算 公 均值 95.88 128 93.82 252 9224 2.64 9242 3.42 
式 如 下 : 表 5 和 6 给 出 了 经 特征 选择 和 未 经 特征 选择 的 

RICSA-KELM 模型 在 两 个 数据 集 上 的 测试 结果 。 从 结果 可 见 ， 
在 KDD99 数据 集 上 ， 经 特征 选择 的 模型 比 未 经 特征 选择 的 模 
其 中 :zz 为 数据 集中 最 小 值 ;wwe 为 数据 集中 最 大 值 。 此 外 ,在 “型 在 性 能 上 提高 了 ACC 1.72%; 在 UNSW-NB15 数据 集 上 ， 经 
实验 过 程 中 为 避免 过 拟 合 和 欠 拟 合 现象 的 发 生 ， 使 得 结果 更 具 特征 选择 的 模型 比 未 经 特征 选择 的 模型 在 性 能 上 提高 了 
说 服 力 ， 采 用 双 层 交叉 验证 方法 [外 ， 内 层 10 折 交 叉 验证 确定 。 ACC1.83%， 这 体现 了 RICSA-KELM 良好 的 性 能 ， 其 优越 性 是 
最 优 特征 子 集 和 参数 , 外 层 5 折 交 又 验证 评估 KELM 的 分 类 性 于 设计 改进 的 ICSA 算法 辅助 KELM 通过 自动 调节 优化 参数 
能 。 由 于 运行 一 次 交叉 验证 不 能 保证 结果 的 公正 性 ， 数 据 是 随 时 到 最 优 的 分 类 性 能 。 为 了 统计 上 验证 提出 的 方法 分 类 性 能 效 
机 抽样 分 割 的 ， 每 次 得 到 的 训练 集 和 测试 集 不 会 完全 一 样 ， 在 。” 果 是 否 显 著 ， 在 测试 中 进行 Wilcoxon 符号 秩 检验 (Wilcoxon 


Xi (5 — Xin ) / (Xa — Xin) (41D) 


= 
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signed ranks test)!®3], 


看 出 ，RICSA-KELM 模型 与 未 经 特 得 


置信 


言 区 间 为 0.95。 从 表 中 +t 检验 结果 可 以 


EF 选择 的 模型 比较 ， 


性 能 指标 


个 数据 集 - 


从 表 中 还 可 发 现 ， 提 i 
备 很 好 的 稳定 性 。 


上 均 具 有 显著 性 差异 ，P 值 均 小 


在 四 个 


于 0.05， 这 表明 在 两 


上 ， 提 出 的 模型 在 分 类 性 能 上 均 有 较 大 的 提高 。 另 外 


上 模型 的 均 方 差 相 对 


较 小 ， 说 明 该 模型 具 


测 方法 


表 8 提出 的 模型 与 相近 模型 在 KDD99 数据 集 分 类 结果 对 比 


性 能 比较 ACC(%) FA(%) 

提出 方法 95.88+0.94 1.28 
CSA-KELM 94.49+1.56 2.25 
CSA-SVM 91.32+3.43 3.89 


为 了 进行 充分 比较 ， 分 别 实现 了 基于 PSO 优化 KELM 算 


表 4 四 种 模型 在 UNSW-NB15 数据 集 上 分 类 性 能 比较 法 (PSO-KELM) 和 基于 GA 优化 KELM 的 算法 (GA-KELM), 比 
于 人 Bh 4 较 结果 如 表 9 所 示 。 从 结果 可 知 ， 提 出 的 模型 在 ACC 性 能 指 
， 0 人 机 标 上 高 于 PSO-KELM 和 GA-KELM 模型 ， 而 且 具 有 较 小 的 误 
卉 93.46 2.13 90.82 3.56 90.20 3.86 88.29 4.51 报 率 ， 这 反映 出 ICSA 算法 具有 比 PSO、GA 更 强 的 搜索 优化 
并 93.02 2.24 9020 3.87 89.56 453 90.12 4.39 能 力 。 
3# 93.52 2.10 9231 321 9121 379 91.63 3.87 i 
4 95.01 1.85 91.87 3.55 88.12 467 9232 3.62 
诸 93.81 229 9123 3.61 9095 3.42 91.05 -3.37 性 能 比较 ACC(%) FA(%) 
均 93.76 2.12 9128 3.56 90.01 405 90.68 3.95 提出 方法 95.88+0.94 1.21 
PSO-KELM 94.12+2.21 2.35 
表 5 KDD99 数据 集 原始 空间 和 特征 选择 后 的 分 类 比较 
性 能 比较 RICSA-KELM RICSA-KELM 工 检验 人 2 一 
人 有 为 了 更 全 面 地 研究 ICSA 算法 的 特征 选择 过 程 ， 探 究 到 底 
是 哪些 特征 参与 了 KELM 模型 的 训练 ， 给 出 了 RICSA-KELM 
94.16+1.34 95.88+0.94 0.043 0 ee 性 放 ion 寺村 芋 各 大 二 
人 一 一 i 入 侵 检测 数据 集 共 包 含 41 个 特征 ,但 并 非 所 有 的 特征 都 对 分 类 
= 一 准确 率 有 帮助 ， 特 征 选择 提高 了 分 类 精度 ， 正 如 表 5 中 和 6 所 
的 结果 一 样 。 从 图 3 统计 特征 被 选择 的 频率 可 知 ， 其 中 最 重 
人 Si 二 要 的 特征 有 Fl、F2、F3、F4、F10、F20、F23、F24、F38 和 
ACC(%) 91.9342.77 93.76+1.23 0.036 F39( 共 10 个 )， 这 些 特征 出 现 的 频率 要 明显 高 于 其 他 特征 (出 现 
频率 次 数 大 于 等 于 7)， 分 别 对 应 KDD 99 数据 集 的 特征 项 分 别 
表 7 给 出 RICSA-KELM 在 KDD99 数据 集 上 的 详细 测试 结 为 duration(1)、 protocol_type(2)、service(3)、flag(4)、hot(10)、 
果 。 可 以 看 到 每 一 折 C 和 ? 值 都 不 同 ， 通 过 寻找 最 优 (C.7) 组 合 num_outbound_cmds(20) 、 count(23) 、 srv_count(24) 、 
KELM 在 每 一 折 样 本 上 部 取得 良好 的 分 类 效果 。 这 是 由 于 ICSA dst_host_serror_rate(38)、 dst_host_srv_serror_rate(39)。 进 一 步 h 
算法 在 迭代 过 程 中 自 适 应 调整 参数 组 合 ， 并 能 根据 数据 样本 的 


分 布 进行 演化 。 提 上 


的 参数 优化 ， 也 同步 实现 了 特 包 


的 RICSA-KELM 算法 不 仅 实现 
F 选 择机 制 。 表 8 给 出 共 


与 相近 模型 的 分 类 结果 比较 。 


表 7 模型 在 KDD99 数据 全 


长 上 10-CV 每 一 折 上 得 到 的 结 


0 折 CV C y ACC(%) 误 报 率 (%) 
1# 122.367 3.789 96.31 lls 
2# 78.067 2.751 95.70 1.68 
3# 57.021 15.691 96.42 0.89 
4# 32.554 052 95.14 1.14 
5# 79.133 0.138 95.68 0.92 
6# 37.121 3.125 96.22 0.81 
7# 11.654 3.125 96.56 0.73 
8# 0.876 0.138 95.90 0.82 
9# 10.796 8.132 95.17 1.33 
10# 37.781 3.125 96.35 0.82 
均值 95.94 


究 这 些 与 网 络 入 侵 相 关 的 因素 ， 为 入 侵 检测 提供 更 有 力 依据 ， 
从 而 帮助 专家 进行 及 时 应 对 处 理 。 
为 了 验证 并 行 模型 的 性 能 ， 将 并 行 模型 与 串 行 模型 进行 了 
比较 。 表 11 给 出 了 并 行 模型 和 串 行 模型 在 KKDD9%9 数据 集 上 的 
测试 结果 。 从 表 中 可 以 看 到 ， 两 个 模型 在 四 个 性 能 指标 上 的 结 
果 非 常 相近 ， 它 们 的 差别 在 于 交叉 验证 过 程 数据 集 的 随机 选择 
造成 。 但 在 运行 时 间 上 串 行 模型 ICSA-KELM 的 平均 时 间 大 约 
是 并 行 模型 RICSA-KELM 的 3 倍 。 从 图 4 也 可 看 到 ， 在 每 一 
折 过 程 中 并 行 模型 花费 的 CPU 时 间 要 远 低 于 串 行 模型 , 这 表明 
提出 的 方法 从 并 行 算 法 获 益 ， 弥 补 传统 串 行 算法 耗 时 过 多 的 问 
题 ， 极 大 提高 了 算法 计算 效率 。 
表 10 RICSA-KELM 模型 在 KDD99 数据 集 上 选 出 的 特征 子 身 
选择 的 特征 


1 折 F1, F2, F3, F4, F5, F9, F10, F12, F13, F15, F17, Fl18, F20, F23, 


mt 


F24, F25, F29, F38, F40 
2 折 F1, F3, F4, F6, F7, F8, F11, F13, F15, F16, F17, F18, F19, F20, 


F23, F24, F25, F30, F38, F39 
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3 折 F1, F3,F4, F5, F9, F10, F12, F16, F18, F20, F23, F24, F25, F26， 表 11 三 种 模型 在 10 折 交 叉 验 证 下 的 结果 比较 
F28, F31, F34, F38, F39 性 能 比较 ACC(%) FA(%) CPU(/s) 
4 折 F1,F2, F3, F6, F7, F8, F9, F10, F11, F12, F15, F19, F20, F23, 并 行 模型 94.47+1.55 1.53 104.32 
F27, F28, F29, F30, F35, F39 串 行 模型 94.25+1.67 1.32 324.66 
5 折 F1, F2, F3,F4, F6, F7, F9, F10, F13, F16, F20, F22, F23, F24, 
F25, F27, F33, F34, F35 S90 
6 折 F3, F7, F9, F10, F14, F17, F18, F19, F21, F23, F24, F27, F30, 9----9- -0 人 0- 人----9 -人 
300 - 
F36, F37, F38, F39 
7 折 F2, F3, F4, F5, F8, F12, F13, F16, F17, F18, F21, F23, F25, 250 
中 
F29, F30, F36, F37, F39 Ee 
8 折 F1, F2, F3, F4, F5, F7, F8, F16, F19, F20, F24, F27, F29, F36, 忆 00 
O 
F38, F39, F40, F41 
9 折 F1, F2, F5, F8, F9, F10, F11, F14, F15, F16, F17, F18，F21， 150 - 
一 一 并 行 方法 
F23, F24, F25, F27, F28, F30, F35, F38, F40 --6-- 串 行 方法 
10 折 100L 一 一 下 
折 F2, F4, F5, F10, F11, F12, F15, F20, F22,F23, F24, F26, F27， 和 > b > 1 
F38, F39, F40 Fold 
图 4 并行 模 型 和 串 行 模型 在 10 折 CV 上 的 运行 时 间 比 较 
10 
9 | 96.5 - 
8 | 96 - 
A 95.5 - 
6 二 
| RR 95- 
5| 
册 世 94.5 - 
紧 4| 世 
S 昌 94- 
洒 3 下 
吵 93.5 - 
21 
93 - 
1 
可 
LI | 
0 5 10 15 20 25 30 35 40 92: i i - - 
特征 维 数 0 20 40 60 80 100 


迭代 次 数 
图 3 RICSA-KELM 模型 在 入 侵 检 测 数 据 集 选择 特征 的 频率 
为 了 验证 ICSA 算法 全 局 搜索 能 力 和 收敛 速度 ， 实 验 i 
步 对 ICSA 算法 的 迭代 机 制 进行 研究 ,给 出 了 ICSA 算法 和 CSA 5 ”结束语 
算法 在 KDD99 数据 集 上 10 折 交 叉 验 证 中 某 一 折 ( 选 的 是 第 1 
折 ) 的 最 优 适应 度 值 变化 过 程 ， 如 图 5 所 示 。 图 中 给 出 的 是 全 局 
最 优 值 的 变化 过 程 ， 将 每 一 次 欠 代 中 所 有 粒子 的 最 优 适应 度 值 
记录 下 来 。 通 过 观察 可 知 ， 性 能 较 好 的 是 ICSA 曲线 ， 从 第 一 
次 帮 代 I 第 100 次 迭代 逐步 演化 ，ICSA 曲线 在 初始 阶段 a : 于 、 
oo ws 
PO OT | 
收敛 到 较 高 值 , 之 后 趋 于 平稳 , 在 50 代 找 到 最 高 适应 度 值 , 但 i od 
仍 低 于 ICSA 曲线 , 说 明 CSA 算法 有 可 能 陷入 局 部 最 优 而 未 找 WA 
到 全 局 最 优 或 全 局 近似 最 优 值 。 该 现象 证 明了 改进 的 ICSA 算 OO 
SID GOA 同时 增强 了 算法 局 部 搜索 能 力 , 提高 了 CSA 的 全 局 寻 优 能 力 和 
、 es 、 收敛 速度 ; 设计 了 综合 考虑 支持 分 类 准确 率 、 误 报 率 和 特征 个 
速 收敛 到 全 局 最 优 解 ， 并 且 在 并 行 环境 下 高 效 同步 实现 了 特有 
选择 和 参数 优化 的 过 程 。 


图 5 ICSA 和 CSA 算法 在 第 一 折 上 训练 集 上 最 优 适 应 度 值 
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入 侵 检测 是 网 络 信息 安全 领域 中 的 研究 热点 和 难点 ， 高 效 
且 预 测 率 高 的 入 侵 检测 模型 能 够 更 好 地 处 理 攻击 频繁 、 复 杂 的 
实时 网 络 入 侵 问 题 ， 因 此 提出 了 基于 过 滤 和 封装 混合 方法 的 并 
行 入 侵 检测 模型 RICSA-KELM。 在 模型 中 利用 ReliefF 过 滤 法 


也 


At 


Hk 


T 


T 


数 的 线性 加 权 多 目标 函数 ;采用 OpenMP 共享 存储 的 并 行 方式 
实现 了 优化 分 类 器 的 并 行 计算 , 极 大 缩短 了 CPU 运行 时 间 , 提 
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高 了 算法 的 效率 。 实 验 通 过 在 KDD99 和 UNSW-NB15 数据 集 
上 的 测试 结果 表明 ， 与 已 有 方法 和 相近 方法 相 比 ， 提 出 的 模型 
取得 了 较 优 的 参数 组 合 和 特征 集合 ， 计 算 效 率 获 得 较 大 提高 ， 
并 且 获 得 了 较 好 的 分 类 结果 , 其 分 类 效果 优 于 基于 原始 CSA 的 
CSA-KELM、PSO-SVM、GA-KELM 和 PSO-KELM 等 相近 方 
法 ， 在 取得 较 高 的 检测 准确 率 ， 降 低 了 误 报 率 的 同时 ， 进 一 步 
提高 了 检测 效率 ， 是 一 种 有 效 的 网 络 入 侵 检测 模型 。 

当然 ， 还 存在 许多 值得 进一步 研究 的 地 方 。 首 先 ， 采 用 的 
是 基于 CSA 算法 的 优化 模型 ， 其 他 群 智能 优化 算法 如 ABC 算 
法 等 在 该 数据 集 上 是 否 具 有 更 好 的 表现 ， 其 次 ， 采 用 单一 分 类 
器 的 分 类 精度 有 时 候 容 易 达 到 瓶颈 ， 而 集成 多 个 分 类 器 的 方法 
效果 要 高 优 于 单个 分 类 器 ， 采 用 集成 方法 进一步 提高 入 侵 检测 
准确 率 ， 也 是 下 一 步 的 研究 工作 。 
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